Игра на похищение: хакеры атакуют россиян через каналы о финансах в Telegram

На модерации Отложенный

Хакеры начали атаковать россиян, подписанных на Telegram-каналы на тему финансов и трейдинга. Они прикрепляют к постам архивы с новым вирусом DarkMe, позволяющим удаленно выполнять команды с сервера злоумышленников и воровать данные. «Известия» выяснили, какие риски несут такие схемы и как защититься от них.

Атаки через каналы в Telegram

Хакеры начали рассылать вирусы-трояны через Telegram-каналы на тему финансов и трейдинга. Это делается с целью шпионажа и кражи данных, говорится в отчете экспертов Глобального центра исследований и анализа угроз «Лаборатории Касперского».

Злоумышленники прикрепляют к постам в Telegram архивы с вредоносными файлами внутри (с расширениями вроде .ink, .com и .cmd). В случае если человек откроет их, на устройство загрузится вредоносное ПО — вирус DarkMe, позволяющий удаленно выполнять команды с сервера злоумышленников и воровать данные.

         

Телефон в руках

Фото: ИЗВЕСТИЯ/Дмитрий Коротаев

         

По словам экспертов, схема может выглядеть убедительной: многие пользователи считают, что скачивать файлы в Telegram менее опасно, чем просто в интернете. До этого хакеры заражали устройства и через другие платформы для общения, например Skype.

— При этом злоумышленники используют не только DarkMe, но и другие виды зловредов. Например, мы фиксировали случаи, когда под видом фото они распространяли новую модификацию мобильного банковского троянца для Android — Mamont. Так они пытались получить доступ к СМС жертв на зараженном смартфоне, а также к платежам с мобильного счета абонентов, — объясняет «Известиям» ведущий эксперт Kaspersky GReAT Татьяна Шишкова.

Для защиты от таких угроз она посоветовала частным пользователям установить антивирус от надежного поставщика. А компаниям —предоставлять специалистам по информационной безопасности доступ к свежей информации о киберугрозах, регулярно проводить обучающие тренинги для сотрудников, а также использовать комплексные линейки решений для обеспечения киберзащиты.

Цели мошенников

Как объясняет «Известиям» ведущий эксперт по сетевым угрозам, web-разработчик компании «Код Безопасности» Константин Горбунов, использование Telegram в качестве площадки для распространения вредоносного ПО привлекает хакеров по нескольким причинам. Во-первых, согласно исследованию компании Mediascope, проведенному в 2023 году, Telegram входит в топ-10 самых популярных интернет-ресурсов у россиян. Его используют и для личных целей, и для корпоративного общения.

Причем доля корпоративных чатов весьма велика, что подтверждает исследовательский центр портала SuperJob. По его данным, в прошлом году 82% компаний так или иначе использовали открытые мессенджеры для общения сотрудников.

         

Архив

Фото: Getty Images/Matthew Lloyd

         

— Еще одна причина распространения ВПО через Telegram — слабая валидация загружаемых файлов, то есть через мессенджер можно отправить вложение практически любого формата и содержания, — говорит эксперт.

При этом в тематических каналах у атакующих больше шансов найти наиболее уязвимую цель, добавляет руководитель группы анализа и выявления угроз кибербезопасности R-Vision Диана Кожушок. К примеру, вредоносное программное обеспечение (ВПО) DarkMe распространялось именно через финансовые Telegram-каналы, чтобы получить несанкционированный доступ к устройствам трейдеров.

— Это привело к утечке данных о финансовом рынке, личных данных клиентов и нарушению финансовых операций, что в свою очередь негативно сказалось на репутации и вызвало финансовые потери, — отмечает она.

Типы атак в Telegram

По словам Дианы Кожушок, атаки в Telegram можно условно разделить на две категории — целевые и массовые. Целевые атаки направлены на конкретных людей, например на сотрудников компаний. Они, как правило, более продуманы и адресованы определенным лицам.

— Например, были случаи, когда в мессенджерах рассылались сообщения якобы от лица генерального директора компании. Хакеры создавали поддельные аккаунты, чтобы ввести сотрудников компании в заблуждение. В сообщении злоумышленник мог начать обычный разговор, а затем сообщить, что сотруднику нужно будет пообщаться с правоохранительными органами по какому-то вопросу, и предложить обсудить этот вопрос заранее, — говорит руководитель группы анализа и выявления угроз кибербезопасности R-Vision.

Также в мессенджерах отправлялись файлы, например таблица с финансовыми данными, и предлагалось посмотреть на новую зарплату или проблемы в отчетах. Если пользователь попадался на фишинговую уловку, то мог либо сообщить конфиденциальные данные, либо загрузить файл, зараженный вирусом.

         

Хакер

Фото: ИЗВЕСТИЯ/Сергей Лантюхов

         

— Второй тип — массовые рассылки, которые создают киберпреступники, стремясь охватить как можно больше людей. В таких рассылках обычно используются простые психологические уловки, чтобы привлечь внимание пользователей, — рассказывает Кожушок.

Web-разработчик Горбунов называет отправку ВПО пользователям самой распространенной среди фишинговых рассылок. По данным «Кода Безопасности», за II квартал этого года на ее долю пришлось около 95%, в то время как доля писем с вредоносными ссылками составила менее 3%. Такая «популярность» вредоносных вложений обусловлена тем, что сообщения со ссылками требуют от жертвы дополнительных действий — необходимо перейти на мошеннический сайт, а также заполнить свои данные в специальной форме. Более того, так мошенник, скорее всего, получит доступ только к одному сервису.

— Но если получится убедить пользователя загрузить вредоносное ПО и запустить его на устройстве или ПК юзера, то мошенники получат полный доступ, в том числе к управлению файловой системой, просмотру сохраненных паролей в браузере и так далее, — заключает эксперт по кибербезопасности.

Вирусы в Telegram

В Telegram-каналах злоумышленники могут распространять различные виды вредоносного программного обеспечения. Среди наиболее распространенных Диана Кожушок выделяет шифровальщиков (ransomware) — программы, которые блокируют доступ к данным, требуя заплатить выкуп, — и ПО для слежки за пользователем (spyware). Оно может использоваться для кражи конфиденциальных данных или для психологического давления на жертву в рамках диалога по вымогательству.

— Третья «популярная» категория — программы для удаленного управления (RAT). К таким относится одно из последних вредоносных ПО — DarkMe, которое стало распространяться с начала 2024 года, — рассказывает эксперт.

         

Хакер

Фото: Global Look Press/Peter Schatz

         

Схема проста: мошенники рассылают пользователям вирусы-трояны, которые маскируются под легитимные приложения, но при запуске крадут личные данные пользователя или получают удаленный доступ к устройству, поясняет Константин Горбунов. Каждый год вирусы эволюционируют и пытаются адаптироваться к модернизирующимся средствам защиты, однако цели распространения такого ПО остаются неизменными — получить доступ к конфиденциальным данным и, уже имея их, совершать дальнейшие киберпреступления.

— К примеру, совсем недавно получила популярность схема, когда мошенники под видом фото отправляют в Telegram вредоносный файл и просят жертву определить, есть ли она на изображении. На деле же «фото» представляет APK-файл, который при нажатии устанавливается на устройство и маскируется под банковский софт. Такое ПО может записывать активности на дисплее, делать скриншоты и красть изображения, — добавляет собеседник «Известий».

Способы защиты

Для защиты от мошенников в Telegram эксперты советуют использовать двухфакторную аутентификацию — это поможет предотвратить несанкционированный доступ к учетной записи.

— Для предотвращения загрузки вредоносных файлов на устройство без вашего ведома лучше отключить функцию автозагрузки медиа. При скачивании файлов обращайте внимание на их источник и расширение, — говорит Диана Кожушок.

         

Телефон в руках

Фото: ИЗВЕСТИЯ/Эдуард Корниенко

         

В свою очередь, Константин Горбунов рекомендует скачивать файлы из вложений только от проверенных контактов, но даже в таком случае обязательно проверять их антивирусом перед открытием. Ведь под видом родственника или друга может скрываться мошенник, например, если получит доступ к аккаунту или подделает аудио- и видеосообщение с помощью дипфейк-технологий. Несмотря на то что эти технологии еще развиваются, отличить подделку очень сложно, поэтому всегда нужно анализировать, насколько поведение «собеседника» соответствует его обычному шаблону и не выглядят ли его сообщения странными.

— Для безопасности корпоративного общения эти рекомендации также актуальны, однако самый надежный способ минимизировать риски, связанные с утечкой чувствительных данных, — перевести деловые коммуникации в корпоративные мессенджеры, — заключает эксперт.